默认账户居然是黑客入侵高频通道火绒防护措施在这里

作者：火绒安全
发布时间：2020-10-15
阅读量：2192

家用摄像头被入侵，导致私人视频资料外泄；个人路由器被攻击，致使钱财被骗取……近年来，类似这样的报道层出不穷，而导致这些恶劣事件频频发生的主要原因之一，正是常见的默认账户。

默认账户，普遍存在于各类软硬件、系统上，名称多为固定格式，生成具有一定规律，易被黑客利用；一些默认账户权限高，甚至部分软、硬件的账户还默认配置了简单的账户密码，更为关键的是，这些默认账户极易被忽视管理……以上种种，导致默认账户成为被黑客暴破攻击的主要对象。

事实上，除了上述摄像头、路由器等电子产品，用户常用的电脑系统和各类软件同样是因默认账户面临安全风险的“重灾区”。

火绒工程师解释，系统安装时，会直接生成默认账户，如Windows安装后的默认管理员Administrator、Linux的默认账户root等。即使运维人员在系统安装完毕后，禁用默认账户并创建新账户，使用的名字也多数是"Administrator"、"User"等常见用户名，并未达到提高安全性的目的。

不仅如此，部分软件安装后也会默认创建Windows管理员账户，如VA_admin、Ras_admin等。甚至像是远程工具Radmin，网站业务使用的SQL Server数据库、WebLogic中间件等软件自身生成的默认账户，也存在此类安全隐患。

Windows系统的默认管理员账户

软件默认创建的Windows管理员账户

一旦黑客成功暴破默认账户，特别是有管理员权限的系统账户，在没有针对性防御方式的情况下，便可执行任意操作，包括投放黑客工具、搜集敏感信息、投放勒索病毒加密文件等等。

根据火绒处理过的有关企业遭遇远程暴破并被投放勒索病毒的案例显示，其中因默认账户被入侵的安全事故就占据了8成。在此，我们选出了几个有关企业使用系统、软件默认账户，导致黑客、病毒入侵的案例进行分享，并给予相关安全建议，希望帮助大家规避风险。

一、企业遭病毒勒索，软件自带默认账户是诱因

火绒收到企业求助，称其内部文件被加密，导致无法打开，并被索要赎金解密。火绒工程师溯源后发现，黑客利用服务器内的管理员账户进行远程桌面登录，上传黑客工具并手动投放名为“Globelmposter”的勒索病毒，从而加密企业重要文件。最终，火绒工程师通过下载火绒企业版，成功查杀并清除了该勒索病毒与被发现的黑客渗透工具，但由于该勒索病毒使用非对称加密算法，因此目前在没有私钥的情况下暂时无法解密。

火绒查杀并清除了勒索病毒和黑客工具

实际上，由于该企业一直使用某软件默认创建的Windows管理员账号“VA_admin”，且密码强度弱，并未设置访问限制，因此黑客在短时间内获得该账户密码并登录后，发起了后续恶意行为。

值得一提的是，火绒企业版除可清除黑客工具并阻止病毒运行外，为防止黑客入侵，有效保护账户安全，用户还可开启【远程登录防护】功能，限制访问IP，阻止黑客远程登录行为，或使用【终端动态认证】功能，开启二次验证，防止黑客进一步入侵终端。

二、“隐匿者”入侵企业服务器，恶意行为牟取利益

某企业服务器内频繁报毒，遂求助火绒。火绒工程师远程查看该服务器后，发现数据库内出现大量SQL Server的默认账户"sa"登陆失败的日志及非用户创建的异常作业，并在用户终端反复收到火绒报毒提示。根据用户现场发现的病毒特征推断，该服务器是被名为"隐匿者(MyKings)"的僵尸网络入侵，从而导致异常的。